5月25日，#搜狐全體員工遭遇工資補(bǔ)助詐騙#沖上微博熱搜第一。

　　一份流傳網(wǎng)絡(luò)的聊天記錄顯示，搜狐全體員工在5月18日早晨收到一封來(lái)自“搜狐財(cái)務(wù)部”名為《5月份員工工資補(bǔ)助通知》的郵件。聊天記錄稱，不少員工受騙，工資卡余額被劃走。據(jù)澎湃新聞?dòng)浾呦蚨辔凰押鼉?nèi)部員工確認(rèn)，確實(shí)收到了上述詐騙郵件。

　　當(dāng)天，搜狐通過(guò)官方微博回應(yīng)稱，經(jīng)調(diào)查，某員工使用郵件時(shí)被意外釣魚導(dǎo)致密碼泄露，進(jìn)而被冒充財(cái)務(wù)部盜發(fā)郵件。事發(fā)后，公司IT及安全部門第一時(shí)間做了緊急處理，并向公安機(jī)關(guān)報(bào)案。據(jù)統(tǒng)計(jì)，共有24名員工被騙取四萬(wàn)余元人民幣。 

　　澎湃新聞?dòng)浾卟稍L多位業(yè)內(nèi)專家發(fā)現(xiàn)，類似的“工資補(bǔ)貼”郵件是一種常見(jiàn)的釣魚詐騙，操作起來(lái)幾乎沒(méi)有技術(shù)難度。另外，在電商平臺(tái)上也能輕易購(gòu)買到此類服務(wù)，盜用他人信息發(fā)送虛假郵件，已成為一條隱蔽的黑灰產(chǎn)業(yè)鏈。

　　同時(shí)，根據(jù)記者的不完全統(tǒng)計(jì)，今年以來(lái)，國(guó)家各地有關(guān)部門已經(jīng)就警惕“補(bǔ)貼騙局”多次發(fā)出公告，數(shù)量超過(guò)50條。

　　為何大廠屢遭“互聯(lián)網(wǎng)詐騙”？專家：技術(shù)沒(méi)門檻，防范有難度

　　5月25日中午，搜狐CEO張朝陽(yáng)第一時(shí)間發(fā)微博回應(yīng)“員工遭詐騙”事件。

　　他提到，背后原因是搜狐某員工的內(nèi)部郵箱密碼被盜，盜賊冒充財(cái)務(wù)部發(fā)信給員工。公司發(fā)現(xiàn)后，技術(shù)部門緊急處理，資金損失總額少于5萬(wàn)元。另外，此次發(fā)送詐騙郵件的不涉及對(duì)公共服務(wù)的個(gè)人郵箱。

　　澎湃新聞?dòng)浾甙l(fā)現(xiàn)，類似以“工資補(bǔ)貼”為由頭的詐騙郵件在企業(yè)內(nèi)部并不罕見(jiàn)。今年2月份，B站也曾流傳出“詐騙郵件”的截圖。知情人士向記者透露，該郵件通過(guò)群發(fā)形式傳播到全體員工，多位員工受騙，總計(jì)受騙金額數(shù)萬(wàn)元。網(wǎng)絡(luò)流傳截圖顯示，東風(fēng)汽車、美的、芒果傳媒等公司紛紛“中槍”，都有員工反映稱收到假冒公司官方的釣魚詐騙郵件。

網(wǎng)傳東風(fēng)汽車內(nèi)部收到詐騙郵件截圖

網(wǎng)傳芒果傳媒內(nèi)部截圖

網(wǎng)傳美的集團(tuán)內(nèi)部郵件截圖

　　“這很有可能是一起典型的OA釣魚攻擊事件。”奇安信行業(yè)安全研究中心主任裴智勇告訴記者。

　　在他看來(lái)，通常情況下的攻擊流程大致如下：攻擊者首先盜取或惡意注冊(cè)一個(gè)公司內(nèi)部郵箱，之后再用這個(gè)郵箱發(fā)郵件給其他員工，誘騙其在釣魚網(wǎng)站（仿冒的公司郵件登陸頁(yè)面）上輸入賬號(hào)和密碼，從而騙取郵箱密碼。“攻擊者盜取內(nèi)部郵箱賬號(hào)的過(guò)程，很有可能也是通過(guò)另一封釣魚郵件完成的。” 

　　“電子郵件本身就是一個(gè)攻擊成本低，但防護(hù)有難度的互聯(lián)網(wǎng)服務(wù)。”裴智勇表示。“只需要知道內(nèi)部員工的郵箱地址，就可以通過(guò)任意一個(gè)電子郵箱發(fā)送釣魚或帶毒郵件給受害者，而不需要了解企業(yè)的內(nèi)部系統(tǒng)。” 

　　“搜狐遇到的詐騙郵件背后其實(shí)沒(méi)有什么技術(shù)難度。”網(wǎng)絡(luò)尖刀安全團(tuán)隊(duì)創(chuàng)始人曲子龍則向澎湃新聞?dòng)浾咛寡浴！跋胍獙?duì)公司實(shí)現(xiàn)類似的攻擊非常容易，幾乎可以想到幾百種方式。” 

　　不少網(wǎng)友疑惑的是，搜狐作為提供郵箱服務(wù)的專業(yè)企業(yè)，為何也會(huì)遇到群發(fā)“釣魚”郵件的詐騙事件？

　　在曲子龍看來(lái)，類似的風(fēng)險(xiǎn)要徹底根除，難度極高。“首先是公司內(nèi)部的重視程度問(wèn)題，如果公司足夠重視，可以在內(nèi)部郵箱添加過(guò)濾指令，提升風(fēng)控能力，但是這也很難防范員工個(gè)人的信息被釣魚網(wǎng)站獲取。” 

　　曲子龍?zhí)岬剑捎诠緝?nèi)部工作交流極為緊密，一旦某員工通過(guò)釣魚網(wǎng)站無(wú)意間泄露信息，就意味著整個(gè)公司的信息都會(huì)暴露在黑客眼中。哪怕不用郵箱進(jìn)行傳播，也有可能通過(guò)手機(jī)、微信等形式進(jìn)行傳播，徹底防范難度極高。“除非公司實(shí)施電腦監(jiān)控，檢查員工使用公司電腦瀏覽的每一個(gè)網(wǎng)站地址，但這又涉及到個(gè)人隱私的問(wèn)題。” 

　　是否可以通過(guò)技術(shù)手段識(shí)別釣魚郵件？裴智勇介紹，目前采用的主要識(shí)別方法包括：識(shí)別發(fā)件郵箱是否為惡意、分析文中是否存在敏感詞匯、以及判斷郵件中的網(wǎng)址是否為釣魚網(wǎng)站。如果攻擊者已經(jīng)盜取某個(gè)內(nèi)部員工的郵箱，并且使用一個(gè)全新的釣魚網(wǎng)址，單純依靠郵件識(shí)別系統(tǒng)，要識(shí)別釣魚郵件存在較大難度。 

　　他坦言，如果是外來(lái)的群發(fā)郵件，可以通過(guò)收件人的數(shù)量判斷其是否為垃圾郵件，并進(jìn)行攔截。但如果是內(nèi)部郵箱群發(fā)的郵件，往往很難發(fā)現(xiàn)。如果攻擊者只是定向發(fā)給一個(gè)或幾個(gè)收件人，通常手段都無(wú)法發(fā)現(xiàn)。 

　　花800元可任意改郵件發(fā)件人

　　“釣魚郵件”存在已久，并非是新型詐騙形式。雖然員工受騙是通過(guò)釣魚網(wǎng)站，但是博得其信任的關(guān)鍵在于郵箱后綴名來(lái)源于公司，這又是如何做到的？

　　記者了解到，有許多方式可以實(shí)現(xiàn)換郵箱的效果，其中較常用的是使用郵件代理。裴智勇介紹，所謂的郵件代理指的是軟件先把郵件截下來(lái)發(fā)送到某個(gè)受控郵箱，再由受控郵箱把郵件正文截下來(lái)，之后把郵件轉(zhuǎn)發(fā)給原定的收件人。這樣，收件人看到的發(fā)件人就是代理郵箱或中轉(zhuǎn)郵箱發(fā)出的郵件，而不是原始郵箱，從而使原始的發(fā)件郵箱被隱藏。

　　“通過(guò)偽造發(fā)件協(xié)議和更改傳輸信息，可以輕易更改郵箱地址，從而實(shí)現(xiàn)從任意一個(gè)地址發(fā)送郵件。”曲子龍表示。至于背后的原理，可以形象類比為寄快遞，目前國(guó)內(nèi)大部分郵箱系統(tǒng)均無(wú)法正確識(shí)別發(fā)信人偽造攻擊。“填寫寄件單的時(shí)候，一般快遞員更關(guān)注收件信息，不會(huì)對(duì)寄件人信息進(jìn)行充分核查，這就意味著寄件人信息有充分的造假空間。” 

　　類似的郵件代理服務(wù)，已在電商平臺(tái)上形成隱蔽的黑灰產(chǎn)業(yè)鏈。澎湃新聞?dòng)浾咭浴靶薷泥]箱發(fā)件人”“虛擬郵箱”“改地址”等關(guān)鍵詞在各大電商平臺(tái)搜索發(fā)現(xiàn)，偽造郵件發(fā)送地址的服務(wù)可以輕易購(gòu)買。一位商家向記者表示，無(wú)論是發(fā)件地址、時(shí)間還是發(fā)件人名稱均可修改，價(jià)格約為800元/封，如果添加附件，還需要200元的服務(wù)費(fèi)。 

某電商平臺(tái)上有關(guān)“修改郵件發(fā)送地址”的商家可以輕松搜索到

　　“800元，這么貴？”當(dāng)記者詢問(wèn)時(shí)，商家回應(yīng)：“用別人郵箱發(fā)，你自己想想，800貴嗎。” 

　　另一位業(yè)內(nèi)人士向記者展示，只需要購(gòu)買相應(yīng)服務(wù)器，就可以實(shí)現(xiàn)任意郵件地址發(fā)送電子郵件。頁(yè)面中特別標(biāo)注：“如果您使用本工具發(fā)送任何違反法律法規(guī)郵件，與本站無(wú)關(guān)。”

　　企業(yè)如何防范？可采用“零信任”方式，需要一定成本

　　漏洞頻發(fā)的郵件系統(tǒng)，難道無(wú)法采取防范手段嗎？業(yè)內(nèi)專家給出的普遍建議是，可以使用“零信任”方法，即對(duì)所有賬號(hào)的登錄和使用，進(jìn)行持續(xù)監(jiān)測(cè)與動(dòng)態(tài)授權(quán)。 

　　什么是“零信任”系統(tǒng)？騰訊安全專家李鐵軍告訴澎湃新聞?dòng)浾撸櫭剂x，“零信任”關(guān)鍵在于打破“信任”，默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問(wèn)控制。

　　“零信任”系統(tǒng)能夠在第一時(shí)間識(shí)別出哪些賬號(hào)的活動(dòng)是異常的，哪些賬號(hào)已經(jīng)被盜或已經(jīng)成為“內(nèi)鬼”賬號(hào)，并封禁這些賬號(hào)。比如，某個(gè)員工的郵箱剛剛才辦公網(wǎng)段進(jìn)行登錄，卻突然跑到了外地某個(gè)地方登錄，之后立即發(fā)送大量郵件給其他員工，這就很有可能是一個(gè)被盜的，有風(fēng)險(xiǎn)的賬號(hào)。 

　　“在零信任機(jī)制的保護(hù)下，攻擊者會(huì)發(fā)現(xiàn)只依靠用戶名和密碼無(wú)法登錄進(jìn)公司內(nèi)網(wǎng)。”李鐵軍表示，系統(tǒng)會(huì)驗(yàn)證出登陸者存在異常，需要進(jìn)一步通過(guò)動(dòng)態(tài)口令驗(yàn)證身份。如果對(duì)方真的入侵到公司系統(tǒng)內(nèi)部，要訪問(wèn)關(guān)鍵信息，零信任系統(tǒng)給出的驗(yàn)證要求會(huì)更高，可以有效防范風(fēng)險(xiǎn)。 

　　不過(guò)，他也提到，零信任系統(tǒng)不是萬(wàn)能的，也會(huì)存在“漏網(wǎng)之魚”，需要企業(yè)提供更多技術(shù)方案。“比如在后臺(tái)中不斷檢查網(wǎng)絡(luò)情況，每一臺(tái)主機(jī)的網(wǎng)絡(luò)會(huì)不會(huì)有異常訪問(wèn)，企業(yè)的網(wǎng)關(guān)位置會(huì)檢查某一臺(tái)主機(jī)是不是訪問(wèn)了有風(fēng)險(xiǎn)的網(wǎng)址，這些其實(shí)都是預(yù)警信息。”值得一提的是，零信任系統(tǒng)也需要一定的企業(yè)成本。 

　　近年來(lái)，由于類似的“互聯(lián)網(wǎng)詐騙”頻發(fā)，多家企業(yè)已經(jīng)提升對(duì)網(wǎng)絡(luò)安全的重視程度。以騰訊為例，相關(guān)負(fù)責(zé)人告訴澎湃新聞?dòng)浾撸v訊對(duì)于資源的訪問(wèn)加入常用地址、設(shè)備以及應(yīng)用類型等條件的約束；在響應(yīng)手段上，騰訊從最開(kāi)始只有直接放行和直接拒絕兩種，現(xiàn)在也加入像短信通知、企業(yè)微信通知，以及在訪問(wèn)一些關(guān)鍵資源時(shí)嚴(yán)格進(jìn)行多因素身份認(rèn)證等。 

　　京東則成立集團(tuán)級(jí)別的安全與風(fēng)控委員會(huì)，就安全和風(fēng)險(xiǎn)問(wèn)題進(jìn)行統(tǒng)一管理。針對(duì)郵件收發(fā)場(chǎng)景，京東開(kāi)啟雙因子身份驗(yàn)證對(duì)釣魚郵件進(jìn)行檢測(cè)和攔截，同時(shí)對(duì)全員以及一些關(guān)鍵群組群發(fā)郵件進(jìn)行限制，將安全風(fēng)險(xiǎn)最小化。 

　　記者了解到，京東還會(huì)定期對(duì)員工進(jìn)行釣魚郵件演練，以及安全意識(shí)培訓(xùn)，幫助員工主動(dòng)識(shí)別釣魚郵件，并提供日常釣魚郵件的舉報(bào)途徑。 

　　今年以來(lái)有關(guān)部門已發(fā)超50條警示公告，反詐中心：未知鏈接不點(diǎn)擊

　　要徹底清除被“釣魚”風(fēng)險(xiǎn)，除了企業(yè)要提升風(fēng)控能力外，員工個(gè)人也要加強(qiáng)安全風(fēng)險(xiǎn)意識(shí)。 

　　“實(shí)際上，我們默認(rèn)黑客是可以輕易獲取某個(gè)人的個(gè)人密碼和登陸信息的。”李鐵軍告訴澎湃新聞?dòng)浾摺！耙驗(yàn)槿藗兘?jīng)常使用一個(gè)密碼用于多種場(chǎng)景，因此一旦其中部分密碼泄露，意味著所有密碼都泄露了，破解難度并不高。”

　　李鐵軍認(rèn)為，員工平時(shí)應(yīng)該盡量不要使用過(guò)于簡(jiǎn)單的密碼，也不要用同一密碼應(yīng)用不同場(chǎng)景。“這個(gè)案例只是手機(jī)掃碼后訪問(wèn)了一個(gè)釣魚網(wǎng)站，影響相對(duì)較小。更嚴(yán)重的是，打開(kāi)網(wǎng)站時(shí)公司內(nèi)部系統(tǒng)可能會(huì)自動(dòng)安裝后門程序，釋放病毒，導(dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)癱瘓，后續(xù)影響可能更為不堪設(shè)想。” 

　　盡管釣魚郵件并不鮮見(jiàn)，但是記者觀察到，疫情以來(lái)，隨著居家辦公頻率增高，類似的詐騙案件有增多趨勢(shì)。多地公安機(jī)關(guān)、反詐中心也關(guān)注到此事，并給出提示。據(jù)記者搜索官方微博、微信等平臺(tái)進(jìn)行不完全統(tǒng)計(jì)，今年以來(lái)，包括吉林、內(nèi)蒙古、青海、河南、江蘇、浙江、上海、福建、廣東等省市的近百家公安機(jī)關(guān)和反詐中心都曾通過(guò)微信、微博等平臺(tái)發(fā)出過(guò)警惕“補(bǔ)貼騙局”的公告，數(shù)量超過(guò)50條。

　　今年2月24日，江蘇省公安廳在官網(wǎng)轉(zhuǎn)載了南京市公安局的安全防范提示，其中特別解析“領(lǐng)取補(bǔ)貼”為名的詐騙郵件的套路：犯罪嫌疑人先以技術(shù)手段攻破企業(yè)郵箱，后以人事、財(cái)務(wù)部門名義發(fā)送假通知，誘導(dǎo)員工填入身份證號(hào)、銀行卡號(hào)、預(yù)留手機(jī)號(hào)、卡內(nèi)余額等信息。緊接著，嫌疑人根據(jù)銀行卡余額確定詐騙的“目標(biāo)金額”，迅速網(wǎng)購(gòu)便于變現(xiàn)的充值卡等虛擬物品，并再次套取銀行發(fā)送的付款短信驗(yàn)證碼，從而實(shí)現(xiàn)盜刷。

　　對(duì)此，全國(guó)多地反詐中心都給出了相近的四點(diǎn)提示：仔細(xì)甄別信息真假；通過(guò)官方途徑了解相關(guān)信息；96110（反詐專線）來(lái)電請(qǐng)立即接聽(tīng)，要下載安裝國(guó)家反詐中心APP。國(guó)家反詐中心也將反詐總結(jié)成為“三不一多”原則口訣：未知鏈接不點(diǎn)擊，陌生電話不輕信，個(gè)人信息不透露，轉(zhuǎn)賬匯款多核實(shí)。 

　　此外，記者還觀察到，除公安機(jī)關(guān)與反詐中心外，今年以來(lái)全國(guó)多地的法院檢察院、人社部門、銀保監(jiān)部門、多家銀行以及高等院校和研究機(jī)構(gòu)也都曾發(fā)布關(guān)于釣魚郵件的詐騙防范提示。3月15日，人力資源與社會(huì)保障部在官方微信辟謠了“2022補(bǔ)貼”，并提示公眾別被詐騙信息忽悠了。

海量資訊、精準(zhǔn)解讀，盡在新浪財(cái)經(jīng)APP

責(zé)任編輯：張文